HackerOne verliert vertrauliche Fehlerberichte seiner Kunden

Der Sicherheitsanbieter HackerOne, der im Namen seiner mehr als 100 Kunden Schwachstellen in Software vertraulich ankauft, hat versehentlich einem Dritten Zugriff auf vertrauliche Fehlerberichte seiner Kunden gewährt. Bei dem externen Forscher handelte es sich um ein Mitglied der HackerOne-Community, das zuvor bereits mehrfach Sicherheitslücken vertraulich gemeldet hatte, wie ArsTechnica berichtet.

Ende November stand der Hacker in Kontakt mit einem Sicherheitsanalysten von HackerOne. Eine Nachricht an den Hacker enthielt Teile eines cURL-Befehls, die wiederum ein gültiges Session-Cookie enthielten. Jeder im Besitz dieses Cookies war in der Lage, die Fehlerberichte zu Lesen und auch zu verändern, zu denen der Analyst Zugang hatte.

Das Community-Mitglied haxta4ok00 informiert HackerOne am 24. November über den Fehler. „Ich habe festgestellt, dass man das private Programm für Tests bearbeiten kann. Ich habe nichts verändert und nichts benutzt, alles um des Hackens willen.“

HackerOne widerrief dem Bericht zufolge rund zweieinhalb Stunden nach Erhalt der Nachricht von haxta4ok00 das Session-Cookie. Zudem leitete das Incident Response Team des Unternehmens sofort eine Untersuchung ein, um unter anderem herauszufinden, welcher Schaden entstanden ist.

Dem vorläufigen Untersuchungsbericht zufolge wurden die betroffenen Kunden bereits über den Vorfall informiert. Wie viele Kunden betroffen sind oder wie viele Fehlerberichte kompromittiert wurden, ließ HackerOne indes offen. Das Unternehmen bestätigte lediglich, dass er unerlaubte Zugriff auf die Fehlerberichte eines Analysten beschränkt war.

Der Bericht legt jedoch auch die Kommunikation zwischen HackerOne und dem externen Hacker offen. Unter anderem fragt HackerOne-Gründer Jobert Abma, warum der Hacker alle Fehlerberichte und Seiten geöffnet habe, um zu bestätigen, dass er Zugriff auf das Konto des Analysten habe. Der antwortete, er habe die Folgen offenlegen wollen. Er habe aber niemandem schaden wollen und den Fehler unverzüglich gemeldet. Abma schrieb darauf hin, der Vorfall sei vor allem deswegen so schwerwiegend, weil er auf so viele Daten zugegriffen habe, und nicht weil der Analyst das Session-Cookie verloren habe.

„Aufgrund der Art der Daten, auf die zugegriffen werden konnte, können andere Systeme als hackerone.com zugänglich sein. Der Umfang umfasst alle Kundenanlagen aufgrund der Schwachstelleninformationen, auf die hätte zugegriffen werden können“, heißt es in einer weiteren Nachricht von Abma. Der Hacker versicherte indes, er habe jegliche Daten wie Screenshots, Datenexporte, Proxy-Logs, auf die er Zugriff hatte, wieder gelöscht. Er räumte aber auch ein, dass er die Löschung nicht beweisen könne.

Des Weiteren kündigte HackerOne Maßnahmen an, um ähnliche Vorfälle künftig zu verhindern. Unter anderem werden man Session-Cookies, wie auch von haxta4ok00 vorgeschlagen, künftig mit der IP-Adresse des Nutzers verknüpfen. Dadurch können verlorene Cookies nicht mehr von Unbefugten benutzt werden.

„Es ist erstaunlich, dass die jetzt von HackerOne angekündigten Sicherheitsmaßnahmen bisher nicht umgesetzt wurden, da einige von ihnen grundlegender und unverzichtbarer Natur sind“, kommentiert Ilia Kolochenko, Gründer und CEO der Web-Sicherheitsfirma ImmuniWeb. Die schnelle und transparente Offenlegung des Vorfalls durch HackerOne sei hingegen ein „lobenswertes Beispiel für andere und erinnert uns noch einmal daran, dass der Mensch das schwächste Glied ist.“

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Alternative zu Maps: Huawei will TomTom nutzen

Wegen der US-Sanktionen darf Huawei keine Google-Dienste wie Maps nutzen. Als Alternative ist nun Kartenmaterial von TomTom im Gespräch.

6 Stunden ago

macOS: aptX für besseren Klang aktivieren

Standardmäßig ist der Bluetooth-Audio-Codec aptX in macOS nicht aktiv. Allerdings lässt er sich einschalten, sodass Anwender mit einem aptX-kompatiblen Gerät…

6 Stunden ago

WeLeakInfo: FBI beschlagnahmt Website für Verkauf gestohlener Daten

An den Ermittlungen sind auch Behörden aus Deutschland, den Niederlanden und Großbritannien beteiligt. WeLeakInfo ist eine kostenpflichtige Suchmaschine für Anmeldedaten.…

9 Stunden ago

EU erwägt Verbot von Gesichtserkennung an öffentlichen Plätzen

Es soll über einen Zeitraum von bis zu fünf Jahren gelten. Bis dahin will die EU Richtlinien für den Gebrauch…

10 Stunden ago

Samsung ernennt neuen Chef der Mobilsparte

Roh Tae-Moon löst DJ Koh ab. Koh bleibt jedoch CEO des Geschäftsbereichs IT & Mobile Communication. Roh war zuletzt für…

12 Stunden ago

FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten

Seine Malware löscht jegliche andere Schadsoftware auf Citrix-Geräten. Sie verhindert auch weitere Angriffe von Dritten. Die Motive des Hackers sind…

15 Stunden ago